pdf 684.6 KB
Transkript
pdf 684.6 KB
KPMG Türkiye Denetim Komitesi Enstitüsü 26 Temmuz 2016 © 2016 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. Document Classification: KPMG Confidential 1 Hakan Aytekin KPMG Türkiye Risk Yönetimi Danışmanlığı Bölüm Başkanı, Şirket Ortağı © 2016 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. Document Classification: KPMG Confidential 2 Denetim Komitesinde Siber Güvenlik Hakan Aytekin KPMG Türkiye Danışmanlık Bölümü Şirket Ortağı © 2016 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. Document Classification: KPMG Confidential 3 Siber Güvenlik ve Tehdit - Tanımlar SİBER TEHTİDLER İLE NEYİ KASTEDİYORUZ? Siber Tehdit – Bilgi Teknolojileri ve Kurum Verilerinin Kasıtlı ve Hedeflenmiş Bir Biçimde Siber Alem Üzerinden Saldırılarak Ele Geçirilme Riski Yakın Tarihteki Siber Saldırılar JP Morgan - 2014 Carbanak Heist – 2015 Dairy Queen Restaurants - 2015 SİBER GÜVENLİK NE DEMEKTİR? Siber Tehditlerin Oluşturduğu Riskleri Makul Seviyeye İndirmek İçin Kullanılan Teknoloji ve İnsan Yönetişim Öğelerinin Tamamı © 2016 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. Document Classification: KPMG Confidential 4 Denetim Komitesi – Siber Güvenlik Trendleri Bir önceki seneye göre siber güvenlik konusuna ne kadar daha fazla zaman ayırmalı? (Kişisel Verilerin Korunması Dahil) 3% 5% 15% 37% 40% Significantly more time More time No change Less time N/A Siber güvenlikle ilgili risk konularına ilişkin aldığınız bilginin kalitesi ne seviyededir? 10% 41% 49% Excellent Generally good Need improvement © 2016 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. Document Classification: KPMG Confidential 5 En yaygın beş siber güvenlik yanılgısı Yanılgı Doğru 1 %100 güvenliği sağlamak zorundayız. %100 güvenlik doğru bir hedef olmadığı gibi bunu başarmak da imkansızdır. Sınıfının en iyisi teknik araçlara yatırım yaparsak güvende oluruz. Etkin bir siber güvenlik, teknolojiye sandığınızdan daha az bağımlıdır. Elimizdeki silahlar bilgisayar korsanlarının silahlarından daha güçlü olmalı. Güvenlik politikalarınızı, saldırganların hedeflerine göre değil kendi hedeflerinize göre belirlemeniz gerekir. 2 3 ©2015 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International Cooperative’in tescilli ticari markalarıdır. Tüm hakları saklıdır. 6 En yaygın beş siber güvenlik yanılgısı Yanılgı Doğru 4 Siber güvenlik konusunda mevzuata uyum tamamen etkin bir izlemeyle ilgili bir durum. Öğrenme kabiliyeti en az izleme kabiliyeti kadar önemlidir. Kendimizi siber suçtan korumak için en iyi profesyonelleri işe almamız gerekiyor. Siber güvenlik sadece bir departmanın işi değil, kurumsal bir anlayıştır. 5 ©2015 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International Cooperative’in tescilli ticari markalarıdır. Tüm hakları saklıdır. 7 Siber Güvenlikte Denetim Komitesinin Rolü Siber Riskleri Tanımla Verilerini Kurtar/Koru Önlemleri Al Tespit Et ve Karşılık Ver ©2015 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International Cooperative’in tescilli ticari markalarıdır. Tüm hakları saklıdır. 8 Güvenlik Kapasitesi Siber Güvenlik Olgunluk Modeli Güçlü koruma sistemim ve politikalarım var Siber güvenlik bizim için uygun değil Bunlar hep aldatıcı konular Endişelerim var, ancak ne yapacağımı bilmiyorum Nasıl ele geçirildiğimizi bilmiyorum Uygunluğa dair ikinci dize işlevsel önlemler Burada Burada Olgunlaşmamış Gelişmekte Ya da burada Yatırım Tehditleri yönetmek için daha çevik olmalıyız Tam güvenlik hedeflenebilir değil, risklerimizi yönetmeliyiz Tek başımıza başa çıkamayız Bir topluluğun parçasıyız Gelişmiş Öncülük Eden Önceliklerinizin değişmesi… Kısıtlı farkındalık Şirket için ne anlama geldiğinin tartışılması Geliştirme için yatırım Kurulların risk tartışmalarını detaylandırması Basit güvenlik teknolojilerine güven Destek ve tavsiye için iletişime geçme Hedef odaklı teknik çözümlerin benimsenmesi Yapılandırılmış güvenlik programlarına geçiş Mevcut olmayan kontrol ya da uygunluk süreçleri Temel güvenlik süreçleri ve politikalar Uyumluluk ve politikaların güçlendirilmesi Güvenlik işlemlerinin gerçekleştirilmesi Siber ekosistemin tedarikçi ve müşterilerle kurulması Zeka ile yönetilen yaklaşımın kuruluşa yansıtılmasıı Sorunu teknoloji problemi olarak görme Genellikle düzenlemelerden kaynaklı endişeler Güvenlik mimarisinin başlangıcı Güvenlik arttırma testleri Siber direnç Farkındalık eğitimlerinin başlangıcı Erken dönem tedarik zinciri güvenlik önlemleri Risk ölçümlendirmesi ve azaltma stratejisi Topluluğun parçası olarak öncülük Teknolojinin geçerli hale gelmesi © 2016 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. Document Classification: KPMG Confidential 9 Eyleme hazır mısınız? Teknoloji tek başına yeterli değil! Önleme Tespit Etme Karşılık Verme ■ ■ ■ ■ ■ Siber suç sorumluluklarının atanması Siber suç test ve simülasyonları Periyodik taramalar ve sızma testleri Yeterli masaüstü güvenliğinin sağlanması Ağ ayrımının sağlanması ■ ■ ■ ■ ■ 7/24 kriz organizasyonunun sağlanması Güvenlik ihlali takip süreçleri Kritik süreçlerin denetim izi takibinin sağlanması Siber güvenlik denetimlerinin iç denetim planlarında oluşturulması Güvenlik ihlallerinin merkezi olarak takip edilmesi ■ Adli analiz yöntemlerinin kullanılması ■ Siber suç müdahale planının oluşturulması ■ Saldırı altındaki IT servislerinin devre dışı bırakılması ©2015 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International Cooperative’in tescilli ticari markalarıdır. Tüm hakları saklıdır. 10 Siber Olgunluk Değerlendirmesi Önderlik & Yönetişim Hukuk & Uygunluk İnsan Faktörleri İşlemler & Teknoloji Bilgi Risk Yönetimi İş Sürekliliği HUKUK VE UYGUNLUK 3 Fazlı Korunma Finansal Risk Devri Kanuni Uygunluk ÖNDERLİK & YÖNETİŞİM Siber Anlayış ve Vizyon Önderlik/Kurul Sorumlulukları Politikalar İŞLEMLER & TEKNOLOJİ Personel Güvenliği Fiziksel Güvenlik Kimlik & Erişim Yönetimi Tehdit & Zafiyet Ağ Güvenliği Siber Hijyen Hizmet Sunumu Denetim İzi & Gözetleme Mobil & Kablosuz Güvenlik İNSAN FAKTÖRLERİ Kültür Eğitim & Farkındalık Yetenek Yönetimi Uzmanlık Yetenekleri BİLGİ RİSK YÖNETİMİ Bilgi Paylaşımı Mimari Risk İştahı Varlık Yönetimi İŞ SÜREKLİLİĞİ Bilgi Risk Yönetimi Süreçleri Siber Güvenlikte İş Sürekliliği Tedarikçiler Paydaş Yönetimi İş Etki Analizi & Felaket Kurtarma Kriz Yönetimi ©2015 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International Cooperative’in tescilli ticari markalarıdır. Tüm hakları saklıdır. 11 Teşekkürler © 2015 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International Cooperative’in tescilli ticari markalarıdır. Tüm hakları saklıdır. Bu dokümanda yer alan bilgiler genel içeriklidir ve herhangi bir gerçek veya tüzel kişinin özel durumuna hitap etmemektedir. Sürekli güncel ve doğru bilgi sunumuna özen gösterilmesine karşın bu bilgiler her zaman her durumda doğru olmayabilir. Hiç kimse özel durumuna uygun bir uzman görüşü almaksızın , bu dökümanda yer alan bilgilere dayanarak hareket etmemelidir. KPMG International Cooperative (“KPMG International”) bir İsviçre kuruluşudur. KPMG ağına üye olan bağımsız şirketler, KPMG International’a bağlıdır. KPMG International’ın müşterilere sunduğu herhangi bir hizmet yoktur. Hiçbir üye şirketin KPMG International’ı veya bir başka üye şirketi, aynı şekilde KPMG International’ın da hiç bir üye şirketi üçüncü şahıslar ile karşı karşıya getirecek zorlayıcı ya da bağlayıcı hiçbir yetkisi yoktur. Tüm hakları saklıdır.
Benzer belgeler
Ergün Kış
tescilli ticari markalarıdır. Tüm hakları saklıdır. Bu dokümanda yer alan bilgiler genel içeriklidir ve herhangi bir gerçek veya tüzel kişinin özel durumuna hitap etmemektedir. Sürekli güncel ve do...
DetaylıBankacılık Sektöründe Güncel Vergi Konuları seminer
© 2015 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International Cooperative’in tesci...
DetaylıBilgi Teknolojileri ve İş Süreçleri Denetimi
Bilgi Risk Yönetimi Süreçleri Siber Güvenlikte İş Sürekliliği Tedarikçiler
Detaylı